În ultimele două articole (, ) ne-am uitat la principiul de funcționare , precum și avantajele tehnice și economice ale acestei soluții. Acum aș dori să trec la un exemplu specific și să descriu un posibil scenariu pentru implementarea Check Point Maestro. Voi arăta o specificație tipică, precum și topologia rețelei (diagrame L1, L2 și L3) folosind Maestro. În esență, veți vedea un proiect standard gata făcut.
Să presupunem că decidem că vom folosi platforma scalabilă Check Point Maestro. Pentru a face acest lucru, să luăm un pachet de trei gateway-uri 6500 și două orchestratoare (pentru toleranță completă la erori) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Diagrama de conectare fizică (L1) va arăta astfel:
Vă rugăm să rețineți că este obligatoriu să conectați porturile de management ale orchestratorilor, care se află pe panoul din spate.
Bănuiesc că multe lucruri nu pot fi foarte clare din această imagine, așa că voi oferi imediat o diagramă tipică a celui de-al doilea nivel al modelului OSI:
Câteva puncte cheie despre schemă:
- Două orchestratoare sunt de obicei instalate între comutatoarele de bază și comutatoarele externe. Acestea. izolarea fizică a segmentului de Internet.
- Se presupune că „nucleul” este o stivă (sau VSS) de două switch-uri pe care este organizat un PortChannel de 4 porturi. Pentru Full HA, fiecare orchestrator este conectat la fiecare comutator. Deși puteți utiliza o legătură la un moment dat, așa cum se face cu VLAN 5 - rețea de gestionare (linkuri roșii).
- Legăturile responsabile cu transmiterea traficului productiv (galben) sunt conectate la porturi de 10 gigabit. Modulele SFP sunt folosite pentru aceasta - CPAC-TR-10SR-B
- Într-un mod similar (Full HA), orchestratorii se conectează la comutatoare externe (legături albastre), dar folosind porturi gigabit și modulele SFP corespunzătoare - CPAC-TR-1T-B.
Gateway-urile în sine sunt conectate la fiecare dintre orchestratori folosind cabluri DAC speciale care sunt incluse (Cablu de atașare directă (DAC), 1 m - CPAC-DAC-10G-1M):
După cum se vede din diagramă, trebuie să existe o conexiune de sincronizare între comenzi (link-uri roz). Cablul necesar este de asemenea inclus în kit. Specificația finală arată astfel:
Din păcate, nu pot publica prețurile public. Dar poți întotdeauna .
În ceea ce privește circuitul L3, pare mult mai simplu:
După cum puteți vedea, toate gateway-urile de la al treilea nivel arată ca un singur dispozitiv. Accesul la orchestratori este posibil numai prin intermediul rețelei de management.
Aceasta încheie scurtul nostru articol. Dacă aveți întrebări despre diagrame sau aveți nevoie de surse, lăsați un comentariu sau .
În următorul articol vom încerca să arătăm cum se descurcă Check Point Maestro cu echilibrarea și efectuează testele de sarcină. Așa că rămâneți pe fază (, , , )!
PS Îmi exprim recunoștința față de Anatoly Masover și Ilya Anokhin (compania Check Point) pentru ajutorul acordat în pregătirea acestor diagrame!
Sursa: www.habr.com